|
Defesa |
|
INFORMATIVO
VBS/HAPTIME
Segue abaixo uma descrição resumida deste vírus que, como qualquer outro, representa um
risco para a segurança nacional.
Descrição Resumida:
O worm VBS/HapTime possui, até agora, duas variantes: A e B. A principal diferenças
entre essas variantes é que na A o arquivo em anexo tem o nome de UNTITLED.HTM, enquanto
na B ele recebeu o nome de INSTLOG.HTM. O código viral é escrito em VBS (Visual Basic
Script) e esse worm infecta arquivos do tipo HTM, HTML, VBS, HTT e ASP. Ele se replica
utilizando objetos MAPI que permitem sua inclusão como anexo a e-mails ou como ActiveX
dentro do papel de carta da mensagem. O worm se anexa a todos os e-mails enviados pela
máquina contaminada que utiliza o Outlook Express como correio eletrônico. Na verdade o
worm VBS/HapTime não precisa que seja aberto diretamente o arquivo anexado, pois ele
explora uma conhecida falha do Outlook Express e assim sendo ele é executado sem a
necessidade da execução manual de seu anexo. Basta abrir uma mensagem contaminada, num
micro sem as correções do Outlook Express ou a desativação do Windows Scripting Host
(WSH). Note entretanto que mesmo com os patches instalados ainda assim uma máquina
poderá ser contaminada se o usuário executar manualmente o anexo com o código viral.
Assim o criador desse worm atinge tanto os curiosos quanto os descuidados/desligados dos
conceitos de segurança na rede mundial. Quando executado o worm envia mensagens para
endereços encontrados dentro de determinados arquivos. As mensagens têm o seguinte
modelo: Subject Help Message (O corpo da mensagem vai em branco mesmo) Attachment
Instlog.htm ou Untitled.htm (estes são os arquivos infectados com o código viral do
VBS/Haptime e que dependem apenas da versão do HapTime) Se a soma do dia atual com o mês
atual for igual a 13 o worm deleta todos os arquivos com as extensões EXE e DLL - esta
coincidência ocorrerá sempre nos dias: 12 de janeiro, 11 de fevereiro, 10 de março, 9
de abril, 8 de maio, 7 de junho, 6 de julho, 5 de agosto, 4 de setembro, 3 de outubro, 2
de novembro e 1 de dezembro. Além disso o worm usa um contador de infecções para
executar duas ações a cada vez que infecta mais 366 arquivos: 1. Ele responde a todas as
mensagens que estiverem na Caixa de Entrada (Inbox) do Outlook Express, e responde-as com
a seguinte mensagem: Subject: Fw Message (o corpo da mensagem vai em branco) Attachment:
Instlog.htm ou Untitled.htm 2.
Ele envia a sua mensagem padrão (aquela que tem o Assunto = Help) que é enviada desde o
momento da infecção da máquina, mas desta vez para todos os endereços de e-mail que
existem cadastrados nos Contatos do Outlook Express Apelidos/Variantes: VBS/HapTime.A,
VBS/HapTime.B, HapTime
Informações retiradas de "Vírus Alerta": Mais informações em: http://www.superdicas.com.br/calendar
Tenho visitado muito este sítio e ele é muito bom, vale a pena visitar.
O "Ninda", W32/NIMDA
Nos últimos dias (desde 19 de setembro) têm aparecidos relatos sobre um vírus que se
propaga por e-mail e por rede local, e que é bastante rápido na contaminação das
máquinas de uma rede local. Com o nome de NIMDA (Admin ao contrário!), essa nova ameaça
é apontada como um VÍRUS por muita gente. Mas tecnicamente este caso deve ser chamado de
worm (VERME).
Esse worm tem um ataque muito rápido. Não está, ainda, claro se ele se utiliza do
programa de e-mail MS Outlook, ou Outlook Express para se disseminar, mas com certeza a
contaminação numa rede local se inicia pelo recebimento de um e-mail, que vem com um
anexo. Em geral, mas não sempre, esse anexo vem embutido como uma chamada para um arquivo
de som (através da definição do arquivo como audio/x-wav, que contém um arquivo
executável, também em geral com o nome de README.EXE). Nesses casos não é necessário
nem mesmo uma ação do destinatário, pois esse tipo de arquivo de som é executado
automaticamente dentro do Outlook e do Outlook Express.
Atenção: não é executado nenhum som ou música, na verdade o arquivo é o código, do
vírus, puro.
Deve-se notar que embora os e-mails contaminados cheguem com diversos SUBJECTs (campo
ASSUNTO) sendo que na maioria das vezes esse campo pode vir em branco ou com um trecho
retirado de uma chave do REGISTRO do Windows, em geral não fazendo nenhum sentido para
quem leia tal informação, o corpo dos e-mails vêm - aparentemente - em branco, isto é,
não se vê nenhuma linha de texto no corpo do e-mail, e em geral o anexo vem com um
ícone de um documento HTML do Internet Explorer.
O primeiro alerta sobre esse verme, foi dado os EUA, às 16 horas do dia 18 de setembro, e
já na manhã do dia seguinte, 19, já estava infectando máquinas no Brasil.
A CONTAMINAÇÃO:
À partir daí ele executa a segunda parte, referente à reprodução pela rede local e
pela Internet:
O verme tenta infectar servidores Web com o IIS instalado, sem os patches de segurança
instalados. Para essa ação ele explora uma falha conhecida como Directory Traversal
Vulnerability, já resolvida pela Microsoft anteriormente, e que pode ser melhor entendida
(e o patch baixado) visitando a página http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
- essa falha dá a habilidade para o atacante de instalar, e executar, qualquer tipo de
código, deletar, modificar ou incluir arquivos, ou páginas web, dentro do servidor
atacado. O W32/Nimda usa uma técnica anteriormente utilizada pelo vírus CodeRed II, para
se propagar e acessar o arquivo root.exe desde o diretório INETPUBSCRIPTS.
Especificamente o worm tenta utilizar o ROOT.exe ou CMD.exe para fazer um upload de si
mesmo como ADMIN.DLL. Então ele modifica os arquivos HTM, HTML e ASP, no drive local, com
códigos JavaScript que causam a execução do arquivo README.EML (criado pelo vírus),
pelos programas Internet Explorer e Outlook Express. Esse arquivo contém o código viral
do worm NIMDA como um anexo especial, que é executado sem necessidade do usuário
executar o anexo manualmente.
MODIFICAÇÕES NO SISTEMA:
À partir da execução do worm, NIMDA determina de onde ele está sendo executado.
Sobrescreve o arquivo MMC.EXE, no diretório WinNT, ou cria uma cópia dele mesmo no
diretório Temporário do Windows. O NIMDA então infecta os arquivos executáveis que
esteja listados nas seguintes chaves do REGISTRO:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion App Paths, e
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion ExplorerShell Folders
O worm altera uma linha de comando do arquivo SYSTEM.INI, garantindo assim a sua
execução a cada boot do Windows:
Shell = explorer.exe load.exe -dontrunold
Ele em seguida substitui o arquivo RICHED20.DLL, que é uma aplicação legítima do
Windows, utilizado por diversas aplicações, notadamente pelo MS-Word. Pela
substituição dessa biblioteca, o NIMDA garante mais uma vez sua própria execução, a
cada execução dessa biblioteca pelo usuário.
O worm se auto-copia para a pasta SYSTEM do Windows contaminado, com o nome de LOAD.EXE.
Agora o worm modifica arquivos que tenham as extensões HTM, HTML e ASP, ou arquivos que
tenham como nome: DEFAULT, INDEX, MAIN ou README, no sistema local, desde que eles sejam
compartilhados com outros computadores de uma rede local. Arquivos EXE são contaminados,
enquanto que arquivos de extensão EML e NWS são simplesmente substituídos por cópias
de seu código viral.
Em seguida o worm NIMDA cria compartilhamentos abertos para todos os drives no computador
contaminado, o que ele consegue manipulando uma chave do Registro:
HKEY_LOCAL_MACHINE Software Windows CurrentVersion Network LanMan C$ , D$ ... Z$
(Fonte: Vírus Alerta)
Como se livrar do Klez.H
A nova variante Klez.H, descoberta no início da
semana, está levando usuários e administradores de sistemas de todo o mundo à
loucura. O vírus chega por e-mail, altera configurações do Windows e, após infectar a
máquina, a praga se auto-envia para todas as pessoas da lista de contatos do Outlook
Express.
Para obter detalhes técnicos sobre o invasor, acesse esta notícia.
Atendendo a pedidos de dezenas de leitores, o IDG Now! entrou em contato com algumas
empresas de segurança e oferece, nas próximas linhas, algumas soluções: para quem
ainda não sabe se foi infectado e para quem foi vítima do Klez.h.
Não sei se a máquina foi infectada
A Trend Micro oferece um serviço gratuito,
via Web, que rastreia o computador do usuário em busca de vírus. Batizada de HouseCall, a ferramenta verifica o sistema em
tempo real e, caso encontre algum arquivo infectado, elimina automaticamente a praga
virtual.
O HouseCall então gera um relatório com o nome dos vírus, a quantidade de arquivos
contaminados e quais foram exterminados. Segundo especialistas da companhia, a ferramenta
já foi atualizada e detecta imediatamente a presença do Klez.h.
Minha máquina foi infectada
Segundo especialistas da Trend Micro, há duas formas de remover o vírus - uma é manual,
a outra é mais automatizada e pode ser feita através da ferramenta que a Trend
disponibilizou especificamente para eliminar o Klez.h, que se chama "Fix Worm
Klez".
Para obter a ferramenta, basta clicar em "fix tool" nesta página ou acessar este link, que pedirá para fazer download direto no computador.
Mas, alerta o suporte da Trend, mesmo utilizando esta ferramenta, é necessário seguir
todas as instruções que se encontram dentro do arquivo readme_worm_klez_3.11.txt. Basta,
para isso, clicar em "readme" que está logo embaixo do Fix tool ou acessar este endereço.
Usuários avançados e administradores de sistema podem ainda obter informações
detalhadas sobre este vírus clicando no guia "Tech Details" da descrição do
vírus ou acessando esta página.
|
